Saltar al contenido principal

CVE-2026-13760: Inyección de comandos del sistema operativo en la agrupación Docker de NodeJsFunction en aws-cdk-lib

ID del boletín: 2026-050-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 01/07/2026 12:15 h PDT

Descripción:

AWS CDK (aws-cdk-lib) es un marco de código abierto para definir infraestructura en la nube mediante código y aprovisionarla a través de AWS CloudFormation. Identificamos la vulnerabilidadCVE-2026-13760, un problema de inyección de comandos del sistema operativo en la canalización de agrupaciones de Docker de NodejsFunction en las versiones de aws-cdk-lib anteriores a la 2.260.0 que podía permitir a un actor que controlara las cadenas de versiones de dependencia en el archivo package.json de un proyecto ejecutar comandos arbitrarios en el host que ejecutaba la cadena de herramientas del CDK mediante metacaracteres de shell inyectados en el ayudante de OsCommand. Este problema requiere que el actor controle el contenido de una cadena de versión de dependencia de package.json que se procesa durante la agrupación basada en Docker con los nodeModules especificados.

Versiones afectadas: < 2.260.0

Resolución:

Este problema fue abordado en la versión 2.260.0 de aws-cdk-lib. Recomendamos actualizar a la versión más reciente y asegurarse de que cualquier código bifurcado o derivado haya sido actualizado para incorporar las nuevas revisiones.

Soluciones alternativas:

Asegúrese de que los módulos que aparecen en la opción de agrupación nodeModules (y las cadenas de versión declaradas para ellos en el package.json de su proyecto, así como las versiones correspondientes de los paquetes instalados) provengan únicamente de fuentes confiables. El uso de paquetes locales en lugar de paquetes basados en Docker evita que la ruta del código se vea afectada. La remediación recomendada es actualizar a una versión que incorpore la corrección.

Referencias:

Reconocimiento:

Nos gustaría agradecer al investigador externo Mostafa Ashraf, quien colaboró en este problema a través del Programa de divulgación de vulnerabilidades de AWS (proceso coordinado de divulgación de vulnerabilidades).


Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.